处理思路:修改注册表,替换正常的userinit.exe。由于正常模式和安全模式都无法进入,所以我们需要考虑其他引导方式修复。Dos命令行的方式修改注册表和替换文件对于一般用户来说过于复杂,故此我们仅介绍使用WinPE盘引导的方式修正此现象
重启后WinPE的启动时间比较长,请耐心等待。:
进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项:【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options】下找到userinit.exe项将其删除,病毒将userinit.exe劫持到不存在的文件上面会导致XP
接下来定位到注册表项【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon】下找到里面的Userinit键值,将其数据修改为系统默认的值『C:\WINDOWS\system32\UserInit.exe,』 接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件,以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目录下system32目录,右键单击userinit.exe文件后选择『复制到』,将默认路径X:\windows\system32输入对话框中(X为系统盘符,通常为C盘) 如图(5)所示:
如果在系统目录下存在userinit.exe文件的话,会有如下提示。建议点击“是”以避免之前文件被病毒修改.
当注册表修改和文件替换均完成后重启计算机,反复注销
注明:此方法仅供遇到此类现象的人士参考处理,系统没有此问题的用户请不要模仿类似操作。WINPE光盘也是需要微软授权的产品,不是每个电脑用户都具备,这里补充另一个方法:你可以使用局域网中其它计算机完成本机的注册表修复。
windows缺省情况下开启了远程注册表服务,可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。如果本服务已经关闭,就只能用winpe了,其它方法更复杂。
1.单击开始,运行,输入regedit,打开注册表编辑器。
2.单击文件菜单,连接网络注册表
3.输入远程计算的IP地址或\\机器名,连接成功后,输入远程计算机的管理员用户名密码。
接下来的步骤就和上面用Winpe编辑注册表的方法完全一样了。如果userinit.exe被病毒破坏,可以使用windows安装光盘启动后进行快速修复,以还原这个userinit.exe。
如果有U盘启动的WINPE的话,也很方便!!
以下为帮同事处理此类问题的过程:
1.用ERD2003启动到虚拟的XP系统。
2.运行注册表编辑,发现如上所说的:【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options】下的项目并无改变。
3.接下来定位到注册表项【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon】下找到里面的Userinit键值,发现其值已被修改,故将其数据修改为系统默认的值『C:\WINDOWS\system32\UserInit.exe,』
4.在本机系统c:\windows\system32下有被病毒修改过文件vuserinit.exe,其大小为1K,而实际其大小应该为23K.故将其删除。
5.在ERD2003光盘中并没有找到userinit.exe文件,在本机系统的c:\windows\system32\dllcache却发现有userinit.exe文件的备份,把改文件拷贝到c:\windows\system32下即可。
(说明:一般的系统并没有备份userinit.exe文件,需要用其他方法从其他机器拷贝过来,存放到c:\windows\system32目录下,方法有很多,例如u盘,软盘等均可)
重新启动系统即可!